ГОСТ Р ИСО/МЭК 27019-2021. Национальный стандарт РФ: "Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 411-ст)

Information technology. Security techniques. Information security controls for the energy utility industry (non-nuclear)

ОКС 35.030

Дата введения - 30 ноября 2021 г.
Введен впервые

ГАРАНТ:

Курсив в тексте не приводится

Предисловие

1 Подготовлен Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) и Федеральным бюджетным учреждением "Научно-технический центр Энергобезопасность" (ФБУ "НТЦ Энергобезопасность") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 Внесен Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 411-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27019:2017 "Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике" (ISO/IEC 27019:2017 "lnformation technology - Security techniques - Information security controls for the energy utility industry", IDT).

ИСО/МЭК 27019 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тесте стандарта, выделенные курсивом, приведены для разъяснения текста оригинала

5 Введен впервые

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Введение

0.1 Предыстория и контекст

Настоящий стандарт содержит руководящие принципы, основанные на ИСО/МЭК 27002:2013, для управления информационной безопасностью применительно к системам управления технологическими процессами, используемым в энергетической отрасли. Целью настоящего стандарта является распространение содержания ИСО/МЭК 27002:2013 на область систем управления технологическими процессами и технологий автоматизации, что позволит предприятиям энергетики внедрить типовую и учитывающую отраслевую специфику систему менеджмента информационной безопасности (СМИБ), которая соответствует ИСО/МЭК 27001:2013 и распространяется от бизнеса до уровня управления технологическими процессами.

В дополнение к целям и мерам обеспечения безопасности, изложенным в ИСО/МЭК 27002:2013, к системам управления технологическими процессами, которые используются энергетическими компаниями и поставщиками энергии, предъявляются дополнительные особые требования. По сравнению с традиционными средами - информационно-телекоммуникационными активами (ICT) ¹⁾ [например, офисными информационными технологиями (ИТ), системами торговли электрической энергией] - существуют фундаментальные и существенные различия в отношении разработки, эксплуатации, ремонта, технического обслуживания и условий эксплуатации систем управления технологическими процессами. Кроме того, технологические процессы, упомянутые в настоящем стандарте, могут представлять собой неотъемлемые компоненты критически важных инфраструктур ²⁾. Следовательно, это означает, что они необходимы для безопасного и надежного функционирования данных инфраструктур. Эти различия и особенности должны быть должным образом учтены в процессах управления системами управления технологическими процессами, что является обоснованием их отдельного рассмотрения в рамках комплекса стандартов серии ИСО/МЭК 27000.

------------------------------

¹⁾_{Далее по тексту введено сокращение ICT.}

²⁾_{См. также Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", предусматривающий необходимость разработки модели угроз безопасности информации и соответствующих методов защиты для объектов критической информационной инфраструктуры.}

------------------------------

С точки зрения проектирования и функционирования системы управления технологическими процессами, используемые в энергетике, фактически являются системами обработки информации. Они собирают технологические данные и контролируют состояние физических процессов с помощью датчиков. Затем эти данные обрабатываются, и выполняемые действия регулируются с помощью исполнительных механизмов. Управление и регулирование осуществляется автоматически, но при этом возможно ручное вмешательство обслуживающего персонала. Таким образом, информация и системы обработки информации являются необходимой частью оперативных процессов в энергетике. Из этого следует важность того, чтобы соответствующие меры защиты информации применялись таким же образом, как и в отношении других организационных подразделений.

Программные и аппаратные компоненты (например, программируемая логика), основанные на стандартной технологии ICT, все чаще используются в средах управления технологическими процессами и также рассматриваются в настоящем стандарте. Кроме того, системы управления технологическими процессами в энергетическом секторе все больше взаимосвязаны и образуют сложные системы. Риски, связанные с этим направлением, должны учитываться при оценке рисков.

Информация и системы обработки информации в средах управления технологическими процессами также подвергаются все большему числу угроз и уязвимостей. Поэтому крайне важно, чтобы в области управления технологическими процессами в энергетике была обеспечена адекватная информационная безопасность за счет внедрения и постоянного совершенствования СМИБ в соответствии с ИСО/МЭК 27001:2013.

Эффективное обеспечение ИБ в области управления технологическими процессами в энергетическом секторе может быть достигнута путем установления, внедрения, мониторинга, пересмотра и, при необходимости, совершенствования применимых мер, изложенных в настоящем стандарте, для достижения конкретных целей безопасности и бизнеса организации. Здесь важно уделить отдельное внимание особой роли энергосбытовых компаний в обществе и экономическую необходимость гарантированного и надежного энергоснабжения. В конечном итоге общий успех кибербезопасности энергетических отраслей основывается на совместных усилиях всех заинтересованных сторон (производителей, поставщиков, потребителей и т.д.).

0.2 Положения по безопасности для систем управления технологическими процессами, используемых энергетическими компаниями

Положения по общей и всесторонней структуре ИБ для области управления технологическими процессами в энергетике опирается на несколько основных требований:

a) потребители ожидают гарантированного и надежного энергоснабжения;

b) нормативно-правовые требования обуславливают необходимость безопасной, надежной и гарантированной работы систем энергоснабжения;

c) поставщики энергии требуют ИБ для защиты своих деловых интересов, удовлетворения потребностей потребителей и соблюдения правовых норм.

0.3 Требования по информационной безопасности

Важно, чтобы энергетические компании определили свои требования по безопасности. Существует три основных источника требований по безопасности:

a) результаты оценки рисков организации с учетом общих бизнес-стратегий и целей организации. С помощью оценки рисков выявляются источники рисков и события, оцениваются потенциальные последствия и вероятность возникновения рисков;

b) требования, вытекающие из федеральных законов и подзаконных актов, распоряжений и договоров, которые должны быть выполнены организацией, а также социально-культурных потребностей. Конкретные примеры включают обеспечение надежного, эффективного и безопасного энергоснабжения, также как и надежное выполнение требований нерегулируемого энергетического рынка, в частности надежную и безопасную передачу данных третьим лицам;

c) конкретные принципы, цели и бизнес-требования, предъявляемые к обработке информации, которые были разработаны компанией для поддержки ее бизнес-операций.

Примечание - Важно, чтобы энергетическая компания обеспечила анализ требований безопасности системы управления технологическими процессами и адекватное отражение их в политике ИБ. Анализ требований и целей ИБ включает рассмотрение всех соответствующих критериев для безопасного энергоснабжения и поставки, например:

- нарушение безопасности энергоснабжения;

- ограничение энергетического потока;

- доля пострадавшего населения;

- опасность физического увечья;

- воздействие на другие критически важные инфраструктуры;

- влияние на конфиденциальность информации;

- финансовые последствия.

Необходимые меры безопасности или контроля определяются методической оценкой рисков безопасности. Необходимо, чтобы расходы на меры обеспечения безопасности были сбалансированы с экономическими потерями, которые могут быть понесены из-за проблем безопасности. Результаты оценки рисков облегчают:

- определение адекватных управленческих действий и приоритетов для управления рисками информационной безопасности;

- осуществление мер обеспечения безопасности, выбранных для противодействия этим рискам.

Оценка риска должна повторяться периодически, чтобы учесть все изменения, которые могут повлиять на оцениваемые результаты.

Требования к оценке рисков и выбору средств и мер обеспечения безопасности приведены в ИСО/МЭК 27001:2013.

0.4 Выбор мер обеспечения безопасности

После того как требования безопасности и риски были определены и приняты решения о том, как противостоять этим рискам, выбираются и внедряются соответствующие меры обеспечения безопасности для снижения рисков до допустимого уровня.

В дополнение к мерам по безопасности, обеспечиваемым комплексной СМИБ, настоящий стандарт предусматривает дополнительную помощь и секторальные меры для систем управления технологическими процессами, используемых в энергетическом секторе, с учетом особых требований, предъявляемых в данных условиях. При необходимости могут быть разработаны дополнительные меры для выполнения конкретных требований. Выбор мер безопасности зависит от решений, принимаемых организацией на основе ее собственных критериев принятия риска, вариантов решения проблемы риска и общего подхода организации к управлению рисками. При выборе мер следует также учитывать соответствующие нормы национального и международного права, правовые постановления и нормативные акты.

0.5 Целевая аудитория

Настоящий стандарт адресован лицам, ответственным за функционирование систем управления технологическими процессами, используемых энергетическими компаниями, менеджерам по ИБ, поставщикам, системным интеграторам и аудиторам. Для этой целевой группы он детализирует основные меры в соответствии с целями ИСО/МЭК 27002:2013 и определяет конкретные меры для систем управления технологическими процессами в энергетике, вспомогательных систем и соответствующей инфраструктуры ¹⁾.

------------------------------

¹⁾_{Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.}

------------------------------

1 Область применения

Настоящий стандарт содержит руководящие указания, основанные на положениях ИСО/МЭК 27002:2013, применяемых к системам управления технологическими процессами, используемым в энергетике для контроля и мониторинга выработки или производства, передачи, хранения и распределения электроэнергии, тепла, газа, нефти и нефтепродуктов, а также для контроля связанных с ними вспомогательных процессов. Это включает в себя в частности следующее:

- централизованные и распределенные технологии управления технологическими процессами, контроля и автоматизации, а также информационные системы, используемые для их функционирования, такие как устройства программирования и параметризации;

- цифровые контроллеры и компоненты автоматизации, такие как управляющие и полевые устройства или программируемые логические контроллеры (ПЛК), включая цифровые сенсорные и приводные элементы;

- все дополнительные вспомогательные информационные системы, используемые в области управления технологическими процессами, например, для выполнения дополнительных задач визуализации данных и для целей контроля, мониторинга, архивирования данных, ведения журнала событий, отчетности и документации;

- коммуникационные технологии, используемые в области управления технологическими процессами, например, сети, телеметрия, приложения телеконтроля и технологии дистанционного управления;

- компоненты развитой инфраструктуры измерений, например, интеллектуальные счетчики;

- измерительные приборы, например, для определения значений выбросов, связанных с экологией;

- цифровые системы защиты и безопасности, например, релейная защита, предохранительные механизмы;

- системы энергоменеджмента, например, системы распределенных энергетических ресурсов, электрозарядной инфраструктуры, в частных домохозяйствах, жилых зданиях или промышленных объектах потребителя;

- распределенные компоненты среды интеллектуальной энергетической сети, например, в энергетических сетях, в частных домохозяйствах, жилых зданиях или промышленных объектах потребителя;

- все программное обеспечение, микропрограммное обеспечение и приложения, установленные на вышеуказанных системах, например, система рационального использования и распределения или система управления отключением подачи электроэнергии;

- любые помещения, в которых находятся вышеуказанное оборудование и системы;

- удаленные системы технического обслуживания для вышеперечисленных систем.

Настоящий стандарт не распространяется на область управления технологическими процессами ядерных установок. Эта область охватывается МЭК 62645.

В настоящем стандарте также включается требование адаптировать процессы оценки и обработки рисков, описанные в ИСО/МЭК 27001:2013, к конкретным руководящим указаниям по энергетике, содержащимся в настоящем стандарте.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание, для недатированных - последнее издание (включая все изменения ссылочного стандарта).

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)

ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

ISO/IEC 27002:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности)

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:

ИСО и МЭК ведут терминологические базы данных для их использования в стандартизации по следующим адресам:

- Электропедия МЭК: доступна по адресу http://www.electropedia.org/;

- платформа онлайн-просмотра ИСО: доступна по адресу http://www.iso.org/obp.

3.1 блэкаут (blackout): Массовое отключение электричества.

3.2 команда реагирования на инциденты компьютерной безопасности; CSIRT (computer security incident response team, CSIRT): Команда реагирования на инциденты в компьютерной безопасности.

3.3 критически важный актив (critical asset): Актив, который может оказывать непосредственное влияние на производство или выработку, передачу, хранение и распределение электроэнергии, тепла, газа, нефти и нефтепродуктов.

3.4 критическая инфраструктура (critical infrastructure): Совокупность организаций и объектов, имеющих существенное значение для функционирования общества и экономики в целом.

Примечание - Отказ или неисправность таких организаций и объектов может привести к постоянному дефициту поставок, оказать значительное воздействие на общественную безопасность и иметь другие широкомасштабные последствия.

3.5 отладка (debugging): Действие анализа неисправностей в компьютерных системах.

3.6 система распределения (distribution system): Распределительная сеть для транспортировки электрической энергии с использованием сети высокого, среднего или низкого напряжения, а также локальная или региональная распределительная сеть для транспортировки тепла, газа, нефти или нефтепродуктов.

3.7 система управления энергопотреблением; EMS (energy management system, EMS): Оборудование/инфраструктура, используемые для мониторинга, измерения и контроля потребления энергии в частных домохозяйствах, жилых зданиях или промышленных объектах потребителя.

Примечание - Термин EMS также обычно используется для обозначения набора приложений, используемых операторами передающей энергосистемы для мониторинга, контроля и оптимизации производительности системы генерации и/или передачи.

3.8 предложение электроэнергии (energy supply): Процесс выработки, производства или хранения энергии для доставки потребителям и эксплуатации сети энергоснабжения.

3.9 энергетическая компания (energy utility): Юридическое лицо, обеспечивающее поставку энергии (электрической, тепловой, газовой или энергии, базирующейся на переработке нефти) другим лицам, в энергораспределительную или накопительную сеть.

3.10 человеко-машинный интерфейс; ЧМИ (human-machine interface, HMI): Пользовательский интерфейс для работы и мониторинга системы управления технологическим процессом или установки.

3.11 профилактическое обслуживание (maintenance): Меры, применяемые в области предложения электроэнергии (3.8), которые обычно связаны с инспекцией, устранением неисправностей и улучшением.

3.12 система управления технологическими процессами (process control system): Система, предназначенная для контроля и мониторинга выработки, производства, передачи, хранения и распределения электроэнергии, тепла, газа, нефти и нефтепродуктов, включая контроль сопутствующих вспомогательных процессов.

Примечание - Систему управления технологическими процессами часто называют в более общем смысле промышленной системой управления. В настоящем стандарте термин "система управления технологическими процессами" ограничивается технологиями и компонентами, используемыми в энергетике.

3.13 безопасность (safety): Отсутствие недопустимого риска.

[Руководство ИСО/МЭК 51:2014, 3.14]

3.14 система безопасности (safety system): Система и компоненты, необходимые для обеспечения безопасности (3.13).

3.15 диспетчерское управление и сбор данных; SCADA-система (supervisory control and data acquisition SCADA): Система управления технологическими процессами (3.12), обычно используемая для контроля за распределенными активами с применением централизованного сбора данных и диспетчерского контроля.

3.16 интеллектуальная энергетическая сеть (smart grid): Электроэнергетическая сеть, использующая технологии обмена информацией и управления, распределенные вычисления и связанные с ними датчики и исполнительные механизмы.

Примечание - Технологии интеллектуальной энергетической сети используются для таких целей, как:

- учет поведения и действий пользователей сети и других заинтересованных сторон;

- эффективное обеспечение устойчивых, экономичных и безопасных поставок электроэнергии.

3.17 система передачи (transmission system): Система, обеспечивающая передачу электрической энергии с использованием средств высоковольтной или сверхвысоковольтной передачи энергии, или газотранспортная система для транспортировки природного газа с использованием сети трубопроводов высокого давления.

4 Структура документа

4.1 Общие положения

Настоящий стандарт представляет собой стандарт, относящийся к ИСО/МЭК 27002:2013 применительно к отрасли энергетики. Типовые задачи управления и меры обеспечения безопасности в энергетическом секторе перечислены в приложении А.

4.2 Уточнение требований ИСО/МЭК 27001:2013

ИСО/МЭК 27001:2013, 6.1.3, перечисление с), уточнен следующим образом:

Сравнивают элементы управления, определенные в 6.1.3, перечисление b) выше, с элементами управления, указанными в приложении А ИСО/МЭК 27001:2013 и в приложении А настоящего стандарта, чтобы убедиться в том, что никакие необходимые меры обеспечения безопасности не были упущены.

ИСО/МЭК 27001:2013, 6.1.3, перечисление d), уточняется следующим образом:

Подготавливают заявку о применимости, которая содержит:

- необходимые меры обеспечения безопасности [см. ИСО/МЭК 27001:2013, 6.1.3, перечисления b) и с)];

- обоснование их включения;

- осуществляются ли необходимые меры обеспечения безопасности или нет;

- обоснование для исключения любых мер обеспечения безопасности, предусмотренных в приложении А ИСО/МЭК 27001:2013 или в приложении А настоящего стандарта.

Примечание - Эти уточнения необходимы в связи с введением в настоящем стандарте новых мер обеспечения безопасности в отношении конкретного энергетического сектора.

Все другие требования, содержащиеся в разделах 4-10 ИСО/МЭК 27001:2013, применяются без изменений. Каких-либо дополнительных требований, предъявляемых конкретно к энергетическим компаниям, не существует.

4.3 Специальное руководство по энергетике, относящееся к ИСО/МЭК 27002

Все положения, цели контроля, меры обеспечения безопасности, руководящие указания по внедрению и другая информация, относящаяся к энергетическому сектору, а также положения ИСО/МЭК 27002:2013, которые применяются без изменений, перечислены в разделах 5-18.

Примечание - Наименования разделов, подразделов и элементов управления, которые не содержатся в ИСО/МЭК 27002:2013, имеют префикс ИБЭ (означающий "информационную безопасность в энергетике").

5 Политика информационной безопасности

Дополнительная информация, относящаяся к энергетическому сектору, в соответствии с разделом 5 ИСО/МЭК 27002:2013 отсутствует.

6 Организация деятельности по информационной безопасности

6.1 Внутренняя организация деятельности по обеспечению информационной безопасности

6.1.1 Роли и обязанности по обеспечению информационной безопасности

Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.1, является следующим:

Инженеры систем управления, инженеры систем телекоммуникаций и другие сотрудники должны быть уведомлены о возложенных на них ролях и обязанностях в части, касающейся аспектов ИБ систем управления технологическими процессами.

6.1.2 Разделение обязанностей

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 6.1.2, отсутствует.

6.1.3 Контакт с органами управления и ведомствами

Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.3, является следующим:

Прикладные системы и инфраструктура систем управления технологическими процессами энергообеспечения могут быть частью критически важных инфраструктур и иметь важное значение для функционирования сообщества, общества и экономики в целом. Поэтому операторы таких систем должны поддерживать контакт со всеми соответствующими органами управления и ведомствами. В дополнение к соответствующим государственным ведомствам (пожарная служба, инспекции и т.д.) это могут быть, например:

- национальные и международные учреждения и инициативы по сотрудничеству в области защиты важнейших инфраструктур;

- национальные и международные команды реагирования на инциденты в компьютерной безопасности;

- организации гражданской обороны и группы по оказанию помощи в случае стихийных бедствий;

- аварийно-спасательные организации и персонал организации.

Для операторов критически важных компонентов инфраструктуры могут применяться дополнительные законы, локальные подзаконные акты и нормативные акты, касающиеся организации взаимодействия с органами управления и ведомствами. Энергетическим компаниям следует удостовериться в том, чтобы информация, полученная в результате контактов с органами управления и ведомствами, анализировалась и оценивалась в контексте организации экспертами по тематическим вопросам и своевременно распространялась среди ответственных сторон внутри организации.

Дополнительная информация для ИСО/МЭК 27002:2013, 6.1.3, является следующей:

Во время работы системы, оперативного планирования и подготовительных работ для исключительных ситуаций может потребоваться информация о метеоусловиях. Поэтому следует установить прямой контакт с соответствующими местными, региональными и национальными метеорологическими службами и соответствующими информационными службами (например, предупреждение о грозе, обнаружение молний).

6.1.4 Контакты с заинтересованными профессиональными группами

Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.4, является следующим:

В целях обмена информацией по вопросам безопасности, связанным с мерами обеспечения безопасности за конкретными процессами, и содействия межорганизационному сотрудничеству, следует поддерживать контакты с национальными и международными ассоциациями поставщиков и операторов и их соответствующими рабочими группами, занимающимися вопросами безопасности. Процесс информирования учитывает применимый правовой контекст.

Энергетические компании должны обеспечить в контексте организации анализ и оценку экспертами по тематическим вопросам информации, полученной в результате контактов с заинтересованными профессиональными группами, и своевременное ее распространение среди ответственных сторон внутри организации.

6.1.5 Информационная безопасность при управлении проектами

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 6.1.5, отсутствует.

6.1.6 ИБЭ-идентификация рисков, связанных с внешними сторонами

Дополнительная мера обеспечения безопасности для ИСО/МЭК 27002:2013, 6.1, является следующей:

Мера обеспечения безопасности

Перед предоставлением доступа к информации и средствам обработки информации организации следует выявить риски, связанные с бизнес-процессами, в которых участвуют внешние стороны, и внедрить соответствующие меры обеспечения безопасности.

Рекомендация по реализации

Системы управления технологическими процессами могут состоять из сложных индивидуально настроенных систем и компонентов. Поставщики систем, интеграторы и другие внешние стороны зачастую принимают активное участие в обслуживании и эксплуатации этих систем. Что касается процессов технического обслуживания и устранения неисправностей, то, возможно, этим внешним сторонам необходимо использовать системы дистанционного доступа, которые позволяют осуществлять техническое обслуживание из отдаленных районов. Возможно также, что сотрудники внешних сторон также нуждаются в доступе к контролируемым с точки зрения безопасности районам для проведения технического обслуживания на местах.

Тесное сотрудничество между различными системными операторами на уровнях производства, генерации, передачи и распределения может потребовать тесной взаимосвязи систем управления и сетей связи различных организаций. Кроме того, внешние стороны, такие как поставщики, системные интеграторы или деловые партнеры, также могут требовать доступ к информации, относящейся к критически важным активам.

Риски, связанные с доступом такой внешней стороны к критически важным активам и соответствующей информации, должны оцениваться и приниматься во внимание, особенно с точки зрения подверженности риску физического процесса, который подлежит контролю или мониторингу. Если внешние стороны имеют доступ к критически важным активам или конфиденциальной информации, то должно быть гарантировано, например, на основе договорных соглашений, чтобы они обеспечили сопоставимый уровень безопасности, определенный для внутренней организации энергетической компании.

6.1.7 ИБЭ-решение вопросов безопасности при работе с потребителями

Дополнительная мера обеспечения безопасности для ИСО/МЭК 27002:2013, 6.1, является следующей:

Мера обеспечения безопасности

Все выявленные требования безопасности должны быть учтены до предоставления потребителям доступа к информации или активам предприятия.

Рекомендация по реализации

Сложные и разнообразные отношения между владельцами активов, системными операторами, поставщиками услуг и внутренними и внешними потребителями в секторе энергоснабжения могут привести к разграничению ответственности в отношении технического обслуживания, эксплуатации и владения активами.

В качестве примера можно привести следующее:

- внутренний поставщик услуг, который отвечает за эксплуатацию и техническое обслуживание инфраструктуры сети передачи или распределения, выделенной для отдельного внутреннего организационного подразделения;

- поставщик услуг, отвечающий за эксплуатацию и техническое обслуживание электростанций или объектов распределенной генерации;

- внутренний или внешний поставщик услуг, который отвечает за функционирование инфраструктуры управления технологическими процессами;

- внутренний или внешний потребитель, подключенный к инфраструктуре энергоснабжения и связанным с ней системам управления технологическими процессами и коммуникационной инфраструктуре.

Такие разнообразные и/или сложные деловые отношения должны приниматься во внимание при определении и удовлетворении требований безопасности, необходимых для предоставления потребителю доступа к информации или активам. При размещении оборудования в помещениях других энергокомпаний или потребителей или при наличии взаимосвязанных систем управления технологическими процессами следует учитывать меры, описанные в 11.3.1, 11.3.2, 11.3.3 и 13.1.5.

6.2 Мобильные устройства и дистанционная работа

6.2.1 Политика использования мобильных устройств

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 6.2.1, является следующей:

Если мобильные устройства используются в сети управления технологическими процессами, энергетические компании должны включить в свои политики безопасности мобильных устройств следующее:

a) определение и назначение ролей, разрешенных для выполнения задач, требующих доступа к системам управления технологическими процессами через мобильное устройство;

b) определить действия, которые эти устройства могут выполнять время, в течение которого эти действия разрешены, и явно установить чрезвычайные исключения;

c) указать, какие изменения могут быть внесены в устройство, кому разрешено вносить эти изменения и как они могут быть внесены;

d) указать места и коммуникационные сети, которые эти устройства могут использовать для доступа, например: дом, офис, удаленный офис или служебные транспортные средства;

e) определить любые процессы, необходимые для управления механизмами безопасности, такими как управление ключами, контроль доступа, управление конфигурацией и управление идентификацией;

f) указать, как каждое устройство может быть подключено к сети управления технологическим процессом, например, через шлюз, ДМЗ, VPN-туннелирование;

g) разделение использования в системах управления технологическими процессами и других сетях (например, бизнес-сетях);

h) указать типы данных, которые могут передаваться, и явно запретить все другие типы передачи данных.

6.2.2 Дистанционная работа

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 6.2.2, является следующей:

Удаленный доступ к системам управления технологическими процессами, осуществляемый персоналом энергосервисной организации, поставщиками или другими внешними сторонами, должен быть обеспечен несколькими мерами обеспечения безопасности, включая следующее:

a) многофакторную аутентификацию;

b) принятие методов, запрещающих что-либо иное, кроме косвенного подключения к целевой системе или сети;

c) минимизацию функций, которые может выполнять удаленная сторона, например удаленное управление, удаленная настройка и программирование систем управления технологическими процессами;

d) проверку состояния безопасности системы удаленного доступа (например, наличие своевременных исправлений и состояние защиты от вредоносных программ, отсутствие известных программ, занесенных в черный список) и защита от передачи вредоносных программ из системы удаленного доступа (см. 12.2.1):

e) обеспечение соблюдения перечня разрешенных мест доступа и/или систем;

f) обеспечение мониторинга и контроля за удаленным доступом и отслеживание изменений и модификаций важнейших активов;

g) обеспечение того, чтобы для удаленного доступа и удаленного обслуживания использовались только известные и одобренные программно-инструментальные средства.

7 Безопасность, связанная с персоналом

7.1 При приеме на работу

7.1.1 Проверка

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 7.1.1, является следующей:

При необходимости следует тщательно продумать и внедрить процесс строгого отбора сотрудников, имеющих доступ к критическим активам или ответственных за процессы эксплуатации и технического обслуживания критических активов. Это особенно важно в том случае, если активы являются частью критической инфраструктуры или если они необходимы для функционирования критической инфраструктуры.

Прежде чем будущему персоналу будет разрешено работать с компонентами, входящими в состав критической инфраструктуры, может потребоваться специальное разрешение на право работы (в области обеспечения безопасности), предоставляемое государственными органами, в зависимости от соответствующего (местного) законодательства.

7.1.2 Правила и условия работы

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 7.1.2, является следующей:

Энергетическая компания должна обеспечить с помощью соответствующих условий работы, чтобы ключевые навыки и персонал всегда были доступны для эксплуатации критически важных инфраструктур. Для ключевого персонала, ответственного за эксплуатацию критических инфраструктур и систем, следует рассматривать получение разрешения на превышение длительности максимального рабочего времени в чрезвычайных ситуациях, с учетом применимых правовых требований. Соглашения о наблюдении и регистрации конкретных действий, таких как контроль операций или доступом к программированию и оцениванию параметров, также должны приниматься во внимание при составлении трудового договора.

7.2 Во время работы

7.2.1 Обязанности руководства организации

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 7.2.1, отсутствует.

7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 7.2.2, является следующей:

Персонал, работающий в энергетическом секторе, отвечающий за технологию систем управления технологическими процессами, должен обладать соответствующими знаниями и навыками для управления и надзора за установкой, техническим обслуживанием и безопасной эксплуатацией систем управления технологическими процессами. Это также должно включать в себя достаточный опыт.

7.2.3 Дисциплинарный процесс

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 7.2.3, отсутствует.

7.3 Увольнение и смена места работы

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 7.3, отсутствует.

8 Менеджмент активов

8.1 Ответственность за активы

8.1.1 Инвентаризация активов

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 8.1.1, является следующей:

Инвентаризация активов должна включать все бизнес-процессы и системы управления технологическими процессами, имеющие отношение к энергоснабжению, такие как информация, прикладные программы и другие вспомогательные активы.

Дополнительная информация для ИСО/МЭК 27002:2013, 8.1.1, является следующей:

Активы в области энергоснабжения включают широкий спектр отраслевых категорий активов, таких как:

a) информация: планы электросетей и других сетей, календарное планирование и данные оперативного управления, географические и гео-привязанная информация, кризисные и чрезвычайные планы, планы аварийного восстановления энергосистемы, данные коммутационных процессов, измеряемые величины и результаты измерений, счетчики и их данные, эксплуатационная учетная документация, данные прикладного программирования и параметризации данных, архив измерений и сигналов, исторические данные и данные трендов и т.д.;

Примечание - Сюда также входят данные прикладного программирования и параметризации цифровых контроллеров и компонентов автоматизации.

b) программное обеспечение: программное обеспечение для управления технологическими процессами, системы визуализации, программное обеспечение для управления энергопотреблением и его оптимизацией, программное обеспечение для моделирования, программное обеспечение для параметризации, системы управления и мониторинга, системы оперативного планирования ресурсов, программные среды, микропрограммное обеспечение, архивирование, отчетность и предыдущие версии программного обеспечения и т.д.;

c) физические активы: элементы управления и автоматизации, компоненты телеметрического и телеуправления, удаленные терминальные блоки, компоненты системы передачи данных, компоненты цифровой защиты и безопасности, цифровые счетчики и измерительные приборы, интеллектуальные счетчики, цифровые датчики и исполнительные элементы, параметрические и программируемые устройства, визуализация и оперативные компоненты, цифровые системы мониторинга и регистрации и т.д.;

d) услуги: телекоммуникационные услуги, услуги экстренной связи, информационные услуги, метеорологические услуги, услуги средств массовой информации и новостей, тайм-сервисы и т.д.

8.1.2 Владение активами

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 8.1.2, является следующей:

Потенциально сложная структура организаций, использующих системы управления технологическими процессами, означает, что могут существовать весьма разнообразные обязанности в отношении коммерческой и операционной собственности. В результате должны быть определены и задокументированы права собственности и обязанности в отношении активов, а также роли владельца активов и оператора активов в отношении информационной безопасности.

8.1.3 Допустимое использование активов

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 8.1.2, отсутствует.

8.1.4 Возврат активов

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 8.1.4, отсутствует.

8.2 Категорирование информации

8.2.1 Категорирование информации

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 8.2.1, является следующей:

При необходимости следует расширить критерии категорирования для конкретных энергетических компаний, включив в них следующие элементы:

- активы, системы и информация, обеспечивающие функционирование важнейших инфраструктур и важнейших активов;

- активы, системы и информация, необходимые для восстановления системы энергоснабжения после серьезного нарушения в энергоснабжении (восстановление энергосистемы), т.е. системы и компоненты, способные к запуску генерации без питания от внешнего источника;

- активы, системы и информация, необходимые для обеспечения охраны труда и техники безопасности, а также безопасности основных средств;

- активы, системы и информация, необходимые для выполнения нормативных требований, таких как правила подключения потребителей к электросетям, или другие специальные требования;

- информация, считающаяся конфиденциальной или частной внешними сторонами, т.е. потребителями или регулирующими органами.

8.2.2 Маркировка информации

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 8.2.2, отсутствует.

8.2.3 Обращение с активами

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 8.2.3, отсутствует.

8.3 Обращение с носителями информации

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 8.3, отсутствует.

9 Управление доступом

9.1 Требования бизнеса к управлению доступом

9.1.1 Политика управления доступом

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 9.1.1, является следующей:

Кроме того, политика должна учитывать следующее:

a) применение условий и правил, касающихся использования групповых учетных записей, когда использование персональных учетных записей пользователей невозможно. Для обеспечения достаточного уровня безопасности и отслеживаемости следует определить четкие правила, касающиеся исключений, наряду с дополнительными мерами;

b) условия и правила, применимые к системам, которые не поддерживают строгую политику паролей или где такая политика паролей невозможна по эксплуатационным причинам. Для обеспечения достаточного уровня безопасности необходимо, в частности, определить дополнительные меры;

c) необходимость того, чтобы персонал и внешний персонал аварийно-спасательных служб мог обойти меры безопасности в условиях объявленной чрезвычайной ситуации;

d) доступ к услугам или приложениям со стороны систем, не имеющих надлежащей аутентификации (т.е. в контексте межмашинной связи). Для обеспечения достаточного уровня безопасности следует рассмотреть вопрос о контроле доступа к сети или других средствах.

Дополнительная информация для ИСО/МЭК 27002:2013, 9.1.1, является следующей:

IEC/TS 62351-8 дает дополнительные рекомендации по внедрению контроля доступа пользователей и автоматизированных агентов к объектам данных в энергосистемах с помощью ролевого контроля доступа.

9.1.2 Доступ к сетям и сетевым сервисам

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 9.1.2, является следующей:

Для защиты сетевого оборудования, обеспечивающего доступ к критическим сетям, необходимо учитывать следующее:

a) обеспечение физической защиты доступа к сетевому оборудованию, особенно в удаленных местах;

b) удаление или отключение с помощью программного обеспечения или физического отключения всех служб и портов сетевого оборудования, не требующихся для нормальной эксплуатации (например, неиспользуемые порты коммутатора), аварийная эксплуатация или техническое обслуживание, включая как коммуникационные порты, так и физические порты ввода - вывода.

9.2 Процесс управления доступом пользователей

9.2.1 Регистрация и отмена регистрации пользователей

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 9.2.1, является следующей:

Использование уникальных идентификаторов пользователей не всегда возможно в системах управления технологическими процессами энергетических компаний, например, для доступа к операционной системе или микропрограммам встроенных систем, таких как контроллеры/ПЛК, или для процессов технического обслуживания в распределенных системах. Возникающий в результате этого риск следует учитывать и принимать соответствующие контрмеры по снижению риска.

Использование индивидуальных и групповых учетных записей пользователей должно соответствовать применимым требованиям ведения журнала (см. 12.4.1).

9.2.2 Предоставление пользователю прав доступа

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 9.2.2, отсутствует.

9.2.3 Управление привилегированными правами доступа

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 9.2.3, отсутствует.

9.2.4 Процесс управления закрытой аутентификационной информацией пользователей

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 9.2.4, отсутствует.

9.2.5 Пересмотр прав доступа пользователей

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 9.2.5, отсутствует.

9.2.6 Аннулирование или корректировка прав доступа

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 9.2.6, отсутствует.

9.3 Ответственность пользователей

9.3.1 Использование закрытой аутентификационной информации

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 9.3.1, является следующей:

В области управления технологическими процессами не всегда возможно обеспечить использование защищенной закрытой аутентификационной информации, например:

- устаревшие системы часто не позволяют использовать индивидуальные пароли и/или пароли с необходимой стойкостью;

- зачастую невозможно подключить системы, работающие на децентрализованных предприятиях, таких как подстанции или распределенные источники генерирования электрической энергии, производственное оборудование, к центральной службе каталогов, что означает необходимость использования локальных учетных записей. Это делает практически невозможным регулярное изменение закрытой аутентификационной информации для этих учетных записей.

Поэтому следует четко указывать пользователю, когда применяется общая политика закрытой аутентификации и когда допускаются исключения, например, когда должны использоваться различные пароли или когда вообще невозможно использовать какие-либо пароли (для устаревших систем).

Особенно в ситуациях, когда для доступа к системе используется общая информация о закрытой аутентификации, следует учитывать следующее:

- общая информация о закрытой аутентификации должна быть максимально защищена;

- ее следует менять чаще, чем отдельные закрытые аутентификационные данные;

- она должна быть изменена в случае кадровых перестановок.

В частности, стандартные пароли, используемые поставщиками систем, должны рассматриваться как небезопасные и поэтому должны быть изменены. Закрытая аутентификационная информация должна быть доступна только лицам, участвующим в работе системы.

9.4 Управление доступом к системам и приложениям

9.4.1 Ограничение доступа к информации

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 9.4.1, отсутствует.

9.4.2 Безопасные процедуры входа в систему

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 9.4.2, является следующей:

Активация сеансов блокировки из-за простоя и заставок нецелесообразна в некоторых приложениях управления технологическими процессами, например в ЧМИ и приложениях визуализации, используемых для непрерывного мониторинга технологических процессов эксплуатирующим персоналом, например, в центрах управления. Для таких приложений следует принимать во внимание возникающие риски, связанные с работающими без оператора сеансами, и применять соответствующие дополнительные контрмеры.

9.4.3 Система управления паролями

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 9.4.3, отсутствует.

9.4.4 Использование привилегированных служебных программ

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 9.4.4, отсутствует.

9.4.5 Управление доступом к исходному коду программы

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 9.4.5, является следующей:

Исходный код, используемый энергетическими предприятиями, также включает данные прикладного программирования и параметризации цифровых контроллеров и компонентов автоматизации.

10 Криптография

10.1 Криптографическая защита информации

10.1.1 Политика использования криптографической защиты информации

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 10.1.1, отсутствует.

10.1.2 Управление ключами

Дополнительная информация для ИСО/МЭК 27002:2013, 10.1.2, является следующей:

МЭК 62351-9 определяет, как генерировать, распространять, отзывать и обрабатывать цифровые сертификаты и криптографические ключи для связи энергосистем. Его можно использовать и для других энергетических областей ¹⁾.

------------------------------

¹⁾_{Вопросы создания, выдачи, аннулирования, обработки сертификатов ключа проверки электронной подписи, а также использования криптографических ключей для энергосистем определяются действующими в Российской Федерации нормативными документами, включая документы национальной системы стандартизации, в области криптографической защиты информации.}

------------------------------

11 Физическая безопасность и защита от воздействия окружающей среды

11.1 Зоны безопасности

11.1.1 Периметр физической безопасности

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 11.1.1, является следующей:

Компоненты, особенно в системах передачи и распределения энергии и в области распределенной выработки и производства, распределяются по децентрализованным участкам. Оборудование размещается в диспетчерских и технических помещениях в здании компании и в периферийных, потенциально незанятых местах. Иногда оборудование размещается в помещениях внешних сторон или в общественных местах. Как правило, невозможно достичь всеобъемлющего уровня физической защиты периферийных объектов; поэтому следует оценивать и, при необходимости, уменьшать степень риска с помощью дополнительных и компенсационных мер обеспечения безопасности.

11.1.2 Меры управления физическим доступом

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 11.1.2, является следующей:

Следует также рассмотреть вопрос об использовании физических систем управления доступом для периферийных объектов, где расположены критически важные активы (см. 11.1.9).

11.1.3 Безопасность зданий, помещений и оборудования

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.1.3, отсутствует.

11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.1.4, отсутствует.

11.1.5 Работа в зонах безопасности

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.1.5, отсутствует.

11.1.6 Зоны погрузки и разгрузки

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.1.6, отсутствует.

11.1.7 ИБЭ-обеспечение безопасности центров управления

Дополнительная мера обеспечения безопасности, приведенная в ИСО/МЭК 27002:2013, 11.1, является следующей:

Мера обеспечения безопасности

Следует спроектировать, разработать и применять меры по обеспечению физической безопасности центров управления, например, там, где размещены серверы систем управления, ЧМИ и вспомогательные системы.

Рекомендация по реализации

Для защиты объектов центральной системы управления, таких как центральное диспетчерское управление или диспетчерские пункты централизованных или распределенных электростанций, генерирующих или производственных блоков (далее - центры управления), необходимо учитывать следующие моменты:

a) для строительства центров управления следует выбрать участок, расположенный на твердом грунте; в тех случаях, когда такой твердый грунт отсутствует, следует принять соответствующие меры для обеспечения достаточной несущей способности грунта фундамента;

b) для центров управления следует выбрать участок, на котором меньше всего ожидается ущерб, наносимый окружающей средой - ветром, водой и т.д.; если какой-либо существующий участок подвержен таким угрозам окружающей среды, то следует принять соответствующие меры для предотвращения такого ущерба;

c) для центров управления следует выбирать площадку, где потенциальный ущерб от сильных электромагнитных полей незначителен; если существующая площадка подвергается воздействию сильных электромагнитных полей, то следует принять соответствующие меры для защиты оборудования в помещениях центров управления с использованием электромагнитного экранирования;

d) центры управления не должны располагаться на объектах, непосредственно примыкающих к объектам, используемым для хранения опасных материалов, представляющих угрозу взрыва или горения;

e) если центр управления расположен в районе, подверженном стихийным бедствиям, таким как землетрясение, цунами, извержение вулкана и торнадо, то здания центра управления должны иметь противоаварийную конструкцию;

f) здания центра управления должны быть огнеупорными или огнестойкими;

g) здания центра управления должны быть спроектированы с достаточной структурной устойчивостью для удовлетворения всех необходимых требований к нагрузке на пол; для существующих объектов должны быть приняты соответствующие меры по обеспечению адекватной структурной устойчивости для удовлетворения всех необходимых требований к нагрузке на пол;

h) в центрах управления должны быть установлены автоматические системы пожарной сигнализации, включая соответствующие системы раннего обнаружения и пожаротушения.

Информация для энергетических компаний

Активы системы управления технологическими процессами иногда размещаются во внешнем центре обработки данных вместе с другими информационно-телекоммуникационными активами (ICT). Физическое разделение между системами управления и другими системами ICT и строгое "разделение обязанностей" имеют важное значение, когда внешние операторы управляют либо ICT, либо системами управления. Во многих случаях это происходит на объекте, удаленном от центра обработки данных и находящемся под управлением энергокомпании.

11.1.8 ИБЭ-обеспечение безопасности для помещений с оборудованием

Дополнительная мера обеспечения безопасности, приведенная в ИСО/МЭК 27002:2013, 11.1, является следующей:

Мера обеспечения безопасности

Следует спроектировать, разработать и внедрить меры по обеспечению физической безопасности помещений, в которых расположены системы управления, используемые энергетическими предприятиями.

Рекомендация по реализации

Для защиты помещения, в котором расположено оборудование системы управления, используемого энергетическими предприятиями (здесь и далее - помещения системы управления), следует рассмотреть следующие меры по управлению:

a) помещение системы управления должно быть расположено там, где оно в наименьшей степени подвержено воздействию внешних факторов, таких, как экстремальные условия окружающей среды или стихийные бедствия; для существующих помещений системы управления, следует принять надлежащие меры для его защиты от опасного внешнего воздействия;

b) помещение системы управления должно располагаться там, где доступ постороннего персонала ограничен; для существующих помещений систем управления должны быть приняты адекватные меры по предотвращению или обнаружению возможного несанкционированного доступа;

c) по возможности помещение системы управления должно быть свободным. Должно быть дано минимум указаний на его использование в качестве помещения для оборудования системы управления технологическими процессами;

d) помещение системы управления должно располагаться там, где оно наименее подвержено затоплению или другому попаданию воды. Если помещение не соответствует этому требованию, то для предотвращения этого должны быть приняты необходимые меры, такие как повышение уровня пола, водонепроницаемость конструкции здания или установка специальных водоотводных сооружений и т.д.;

e) помещение системы управления должно быть расположено там, где оно лучше всего защищено от сильных электромагнитных полей. Если помещение не соответствует этому требованию, то оно должно быть защищено электромагнитными щитами или другими подходящими мерами. Это особенно важно в непосредственной близости от высоковольтного/сильноточного оборудования или трансформаторов и т.д. Меры защиты от электромагнитного излучения следует применять также в том случае, если помещение оборудования системы управления используется в качестве хранилища данных и/или для резервного копирования данных;

f) компоненты с повышенными требованиями к безопасности должны размещаться в специально отведенном аппаратном помещении системы управления с повышенной физической защитой;

g) в районах с риском землетрясения следует принимать меры для предотвращения обрушения и падения предметов и материалов, используемых для защиты пола, стен, крыш от обвалов и обрушения;

h) противопожарные мероприятия должны осуществляться для оборудования систем управления и помещений хранения данных;

i) следует принять меры для устранения неисправностей, вызванных статическими зарядами;

j) воздуховоды, соединяющие помещения оборудования системы управления, должны быть спроектированы таким образом, чтобы замедлить или предотвратить распространение огня;

k) автоматическая пожарная сигнализация должна быть установлена в помещениях систем управления и кондиционирования воздуха;

l) огнетушители должны устанавливаться в помещениях систем управления и кондиционирования воздуха;

m) помещения системы управления должны быть проветриваемые по мере необходимости. Наличие кондиционера должно быть обеспечено, например, путем защиты его от отключения электроэнергии.

Примечание - Если помещение системы управления расположено на периферийных объектах, то не все рекомендации руководства полностью применимы (см. 11.1.9).

11.1.9 ИБЭ-защита периферийных объектов

Дополнительная мера обеспечения безопасности, приведенная в ИСО/МЭК 27002:2013, 11.1, является следующей:

Мера обеспечения безопасности

Для периферийных объектов, где расположено оборудование системы управления, используемое энергетическими компаниями, должны быть спроектированы, разработаны и внедрены средства управления физической безопасностью или применены соответствующие контрмеры для снижения риска, если достаточный уровень физической защиты периферийных объектов недостижим.

Рекомендация по реализации

Особенно в сетях передачи и распределения электроэнергии, а также в распределенных системах генерации и производства, компоненты инфраструктуры системы управления могут быть распределены по периферийным участкам, которые часто остаются незанятыми. Для защиты таких децентрализованных объектов, на которых расположены объекты системы управления, следует рассмотреть следующие меры обеспечения безопасности:

a) если периферийный объект расположен в зоне риска стихийных бедствий, он должен быть устойчив к стихийным бедствиям и удовлетворять требованиям соответствующих национальных и региональных стандартов;

b) в тех случаях, когда критические активы эксплуатируются на периферийных объектах, следует устанавливать оборудование автоматического противопожарного контроля;

c) периферийные объекты должны контролироваться с целью обнаружения неисправностей компонентов, сбоев в электроснабжении, пожара и т.д. При необходимости следует также контролировать влажность и температуру воздуха;

d) в тех случаях, когда критические активы эксплуатируются на периферийных объектах, следует устанавливать адекватные, физически безопасные периметры с использованием, например, надежного ограждения. Кроме того, следует установить автоматическую сигнализацию и осуществлять контроль за ней из центрального помещения.

В тех случаях, когда достаточный уровень физической защиты периферийных объектов недостижим, этот риск следует принимать во внимание и смягчать путем применения соответствующих контрмер. При выборе таких контрмер в первую очередь следует учитывать критичность активов, эксплуатируемых на этих периферийных объектах, а также концепции избыточности и резервирования, реализуемые для их соответствующей системной функциональности.

11.2 Оборудование

11.2.1 Размещение и защита оборудования

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 11.2.1, является следующей:

При определенных обстоятельствах возможно, что системные компоненты систем управления технологическими процессами и вспомогательной инфраструктуры необходимо устанавливать в помещениях с интенсивным выделением пыли, тепла, холода, электромагнитного излучения, влажности и т.д. Оборудование должно быть соответствующим образом спроектировано и сконструировано для работы в таких условиях окружающей среды. В противном случае для обеспечения надежной работы следует применять дополнительные защитные контрмеры, например подходящие внешние корпусные шкафы.

11.2.2 Вспомогательные средства

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 11.2.2, является следующей:

Все критические активы, службы связи и другое оборудование, необходимое для восстановления системы после крупного отключения электроэнергии, должны быть спроектированы и эксплуатироваться таким образом, чтобы они были независимы от внешних служб в течение соответствующего периода времени. Это касается, в частности, внешнего энергоснабжения.

В зависимости от планов восстановления системы критические активы, необходимые для восстановления системы, должны быть способны к эксплуатации независимо от внешнего источника питания в течение соответствующего промежутка времени, определенного планами восстановления системы. В отдаленных районах может возникнуть необходимость обеспечить автономное электроснабжение, которое может работать в течение нескольких дней. Это включает в себя, например, аварийный электрогенератор с автоматическим запуском, а также соответствующий запас топлива.

Организации следует определить необходимое резервное время для обеспечения бесперебойного энергоснабжения важнейших объектов.

11.2.3 Безопасность кабельной сети

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 11.2.3, является следующей:

В частности, в области передачи и распределения энергии коммуникационные сети устанавливаются на обширных площадях, чтобы обеспечить связь с периферийными объектами и обеспечить удаленный доступ к техническому обслуживанию. Зачастую невозможно обеспечить такой же уровень защиты внешней кабельной сети, как внутренней. Связанные с этим риски должны быть оценены соответствующим образом и смягчены, насколько это возможно, путем осуществления дополнительных физических мер. В зависимости от требований безопасности передаваемых данных следует также рассмотреть дополнительные нефизические меры, такие как криптографическая защита.

11.2.4 Техническое обслуживание оборудования

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.2.4, отсутствует.

11.2.5 Перемещение активов

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.2.5, отсутствует.

11.2.6 Безопасность оборудования и имущества вне помещений организации

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.2.6, отсутствует.

11.2.7 Безопасная утилизация или повторное использование оборудования

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.2.7, отсутствует.

11.2.8 Оборудование, оставленное пользователем без присмотра

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.2.8, отсутствует.

11.2.9 Политика "чистого стола" и "чистого экрана"

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 11.2.9, является следующей:

В области процесса управления энергетическими предприятиями ЧМИ часто не могут быть отключены или защищены экранными заставками, например ЧМИ SCADA-системы или устройства регистрации данных. Следует обеспечить, чтобы такие ЧМИ были установлены либо в физическом защищенном месте с постоянным наблюдением человека (например, в центре управления), либо в режиме отображения, где могут выполняться только некритические действия (например, режим только просмотра).

11.3 ИБЭ-безопасность в служебных помещениях третьих лиц

Дополнительная цель контроля, приведенная в разделе 11 ИСО/МЭК 27002:2013, является следующей:

Цель: защита оборудования, находящегося вне помещений, энергетических компаний от физических угроз и угроз окружающей среды.

11.3.1 ИБЭ-оборудование, расположенное на территории других энергетических компаний

Мера обеспечения безопасности

В тех случаях, когда энергетические компании устанавливают оборудование за пределами своих собственных объектов или помещений на территории, находящейся под ответственностью других энергетических компаний, как, например при межсистемной связи станций, оборудование должно быть размещено на охраняемой территории, с тем чтобы снизить любые риски, связанные с угрозами окружающей среды, и уменьшить вероятность несанкционированного доступа.

Рекомендация по реализации

Для защиты оборудования энергетической компании, находящегося на территории других энергетических компаний, следует учитывать следующие меры обеспечения безопасности:

a) должен быть определен круг ответственности и взаимодействия с другими энергетическими компаниями, и при необходимости должна быть обеспечена возможность легко изолировать оборудование от оборудования другой организации (см. 11.3.3);

b) соглашения должны заключаться на договорной основе с другой энергетической компанией на поставку вспомогательных инфраструктурных услуг, таких как энергоснабжение, охлаждение, отопление и т.д.;

c) необходимо обеспечить, чтобы эксплуатационная площадка, на которой будет установлено оборудование, отвечала всем необходимым требованиям безопасности.

Другая информация

Для обеспечения того, чтобы уровень безопасности помещений другой компании соответствовал уровню безопасности собственных помещений энергокомпании, соответствующие условия должны быть согласованы заранее.

11.3.2 ИБЭ-оборудование, размещенное на территории потребителя

Мера обеспечения безопасности

В тех случаях, когда энергетические компании устанавливают оборудование в помещениях потребителя, например, для контроля или измерения поставок энергии и/или предоставления дополнительных услуг, оборудование компаний должно быть защищено таким образом, чтобы снизить любые риски, связанные с угрозами окружающей среды, и уменьшена вероятность несанкционированного доступа.

Рекомендация по реализации

Для защиты оборудования, расположенного на территории потребителя энергетической компании, необходимо учитывать следующие меры обеспечения безопасности:

a) шкафы оборудования, установленные на территории потребителя, не должны легко открывать посторонние лица. Любая форма манипуляции должна быть легко обнаружима;

b) следует определить круг ответственности и интерфейсы связи с потребителем, а также обеспечить возможность изолировать коммуникационные интерфейсы от интерфейсов связи с потребителем;

c) должна быть обеспечена возможность для того, чтобы энергетические компании осуществляли строгий контроль за состоянием или дистанционно эксплуатировали оборудование.

11.3.3 ИБЭ-взаимосвязанные системы управления и связи

Мера обеспечения безопасности

В тех случаях, когда системы управления, имеющие линии связи, взаимодействуют с системами внешних сторон, круг ответственности и интерфейсы с внешней стороной должны быть четко определены таким образом, чтобы можно было отключать и изолировать каждую организацию от других в течение соответствующего периода времени во избежание выявленных рисков.

Рекомендация по реализации

Энергетические компании должны следить за состоянием своих межсоединений.

Для того чтобы диагностировать проблемные зоны и принимать корректирующие меры, организации должны иметь средства для изоляции связей между собой и внешними сторонами и для повторного подключения изолированных связей, когда это необходимо.

Энергетические организации должны указывать в договорах или соглашениях, что межсистемные соединения могут быть приостановлены в тех случаях, когда возникают серьезные помехи в работе собственных служб организации.

Должны быть четко определены критерии и условия, необходимые для приостановления системных взаимосвязей. Кроме того, следует оценить возможные последствия приостановления системных взаимосвязей и при необходимости определить и подготовить резервные меры, если это необходимо.

Примечание - Этот элемент управления применяется не только к маршрутизированной сетевой связи, но и к последовательной связи.

12 Безопасность при эксплуатации

12.1 Эксплуатационные процедуры и обязанности

12.1.1 Документально оформленные эксплуатационные процедуры

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 12.1.1, является следующей:

В документации по эксплуатационным процессам должно быть точно указано, при каких условиях следует применять процедуры аварийного или кризисного управления.

12.1.2 Процесс управления изменениями

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 12.1.2, является следующей:

Изменение аппаратных систем часто приводит к изменению информационных систем и систем или приложений управления технологическими процессами из-за программного обеспечения, встроенного в эти системы. Все связанные с этим изменения должны контролироваться.

12.1.3 Управление производительностью

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 12.1.3, отсутствует.

12.1.4 Разделение сред разработки, тестирования и эксплуатации

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 12.1.4, является следующей:

Необходимо обеспечить надлежащую безопасность систем разработки и тестирования. В соответствии с их критичностью следует о